亚洲欧美日韩综合系列在线_91精品人妻一区二区_欧美大肥婆一级特大AA片_九色91视频免费观看_亚洲综合国产精品_av中文字幕在线不卡_久久精品色综合网_看黄色视频的软件_无卡无码高清中文字幕码2024_亚洲欧美日韩天堂网

ThinkPHP5核心類Request遠(yuǎn)程代碼漏洞分析

來源:藏色散人 發(fā)布時間:2019-03-21 16:11:38 閱讀量:1040

一、漏洞介紹

2019年1月11日,ThinkPHP團(tuán)隊發(fā)布了一個補(bǔ)丁更新,修復(fù)了一處由于不安全的動態(tài)函數(shù)調(diào)用導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞危害程度非常高,默認(rèn)條件下即可執(zhí)行遠(yuǎn)程代碼。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進(jìn)行源碼分析和驗證后,確認(rèn)具體受影響的版本為ThinkPHP5.0-5.0.23完整版。

二、漏洞復(fù)現(xiàn)

本地環(huán)境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache進(jìn)行復(fù)現(xiàn)。安裝環(huán)境后執(zhí)行POC即可執(zhí)行系統(tǒng)命令,如圖:

afc4957c54f94380ee4cc381c70b9e4.png

三、漏洞分析

以官網(wǎng)下載的5.0.22完整版進(jìn)行分析,首先定位到漏洞關(guān)鍵點(diǎn):

1

thinkphp/library/think/Request.php:518

在method函數(shù)的第二個if分支中,引入了一個外部可控的數(shù)據(jù)$_POST[Config::get[‘var_method’]。而var_method的值為_method。

88aec3bbdb122bd58ac7d060948157c.png

Request類的__construct函數(shù)如下:

由于$options參數(shù)可控,攻擊者可以覆蓋該類的filter屬性、method屬性以及get屬性的值。而在Request類的param函數(shù)中:

當(dāng)$this->mergeParam為空時,這里會調(diào)用$this->get(false)。跟蹤$this->get函數(shù):

該函數(shù)末尾調(diào)用了$this->input函數(shù),并將$this->get傳入,而$this->get的值是攻擊者可控的。跟蹤$this->input函數(shù):

該函數(shù)調(diào)用了$this->getFileter取得過濾器。函數(shù)體如下:

$this->filter的值是攻擊者通過調(diào)用構(gòu)造函數(shù)覆蓋控制的,將該值返回后將進(jìn)入到input函數(shù):

查看filterValue函數(shù)如下:

在call_user_func函數(shù)的調(diào)用中,$filter可控,$value可控。因此,可致代碼執(zhí)行。

漏洞觸發(fā)流程:

從ThinkPHP5的入口點(diǎn)開始分析:

1

thinkphp/library/think/App.php:77

run函數(shù)第一行便實例化了一個Request類,并賦值給了$request。然后調(diào)用routeCheck($request,$config):

這里調(diào)用Route::check進(jìn)行路由檢測。函數(shù)如下:

注意紅色字體部分。對應(yīng)開頭的第一個步驟,也就是調(diào)用method函數(shù)進(jìn)行變量覆蓋。這里需要覆蓋的屬性有$this->filter,$this->method,$this->get。因為$request->method()的返回值為$this->method,所以該值也需要被控制。這里返回值賦值給了$method,然后取出self::$rules[$method]的值給$rules。這里需要注意:THINKPHP5有自動類加載機(jī)制,會自動加載vendor目錄下的一些文件。但是完整版跟核心版的vendor目錄結(jié)構(gòu)是不一樣的。

完整版的目錄結(jié)構(gòu)如下:

c36d6d7b0e92ced3321a9237fb87f72.png

而核心版的目錄結(jié)構(gòu)如下:

d790057811ee238741e8c395e59e35d.png

可以看到完整版比核心版多出了幾個文件夾。特別需要注意的就是think-captcha/src這個文件夾里有一個helper.php文件:

ec7a20529c2ec18d38d039653ef1662.png

這里調(diào)用\think\Route::get函數(shù)進(jìn)行路由注冊的操作。而這步操作的影響就是改變了上文提到的self::$rules的值。有了這個路由,才能進(jìn)行RCE,否則不成功。這也就是為什么只影響完整版,而不影響核心版的原因。此時的self::$rules的值為:

0fadd6dc1eb3d4bd1e9b9985be422fa.png

那么,當(dāng)攻擊者控制返回的$method的值為get的時候,$rules的值就是這條路由的規(guī)則。然后回到上文取到$rules之后,根據(jù)傳入的URL取得$item的值,使得$rules[$item]的值為captcha路由數(shù)組,就可以進(jìn)一步調(diào)用到self::parseRule函數(shù)。函數(shù)體略長,這里取關(guān)鍵點(diǎn):

此時傳遞進(jìn)來的$route的值為\think\captcha\CaptchaController@index。因此進(jìn)入的是標(biāo)注紅色的if分支中。在這個分支中,$result的’type’鍵對應(yīng)的值為‘method’。然后將$result層層返回到run函數(shù)中,并賦值給了$dispatch。

然后將$dispatch帶入到self::exec函數(shù)中:

進(jìn)入到紅色標(biāo)注的分支,該分支調(diào)用Request類的param方法。因此,滿足了利用鏈的第三步,造成命令執(zhí)行。

啟明星辰ADLab安全研究員對ThinkPHP5.0-5.0.23每個版本都進(jìn)行了分析,發(fā)現(xiàn)ThinkPHP5.0.2-5.0.23可以使用同一個POC,而ThinkPHP5.0-5.0.1需要更改一下POC,原因在于Route.php的rule函數(shù)的一個實現(xiàn)小差異。

ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235,將$type轉(zhuǎn)換成了大寫:

babc8839872c16c7021cd1881bfd403.png

在ThinkPHP5.0.2-5.0.23版本中,rule函數(shù)中卻將$type轉(zhuǎn)換成了小寫:

7a1bf42968e525229ed1a5c4716149a.png

四、補(bǔ)丁分析

在ThinkPHP5.0.24中,增加了對$this->method的判斷,不允許再自由調(diào)用類函數(shù)。

2285f587985703d73ee1c2d9baea765.png

五、結(jié)論

強(qiáng)烈建議用戶升級到ThinkPHP5.0.24版本,并且不要開啟debug模式,以免遭受攻擊。


標(biāo)簽: PHP
分享:
評論:
你還沒有登錄,請先

熱門文章

    推薦文章